Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PGTI-13 Declaración de Aplicabilidad V3.0
PGTI-13 Declaración de Aplicabilidad V3.0
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Firma:
Acta de Comité PGDIGITAL Nº 1 del 5 mayo 2022 Fecha publicación: 30 de junio de 2022
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 1 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
TABLA DE CONTENIDO
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 2 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
INTRODUCCIÓN ..................................................................................................................... 4
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 3 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
INTRODUCCIÓN
OBJETIVO GENERAL
Definir los controles de seguridad de la información aplicados por la Contraloría de Bogotá D.C.,
en el marco del Sistema de Gestión de Seguridad de la Información – SGSI, así como los
procesos responsables de su gestión dentro de la entidad.
OBJETIVOS ESPECÍFICOS
DECLARACIÓN DE APLICABILIDAD
La presente declaración de aplicabilidad será revisada con base en los resultados de cada
nuevo proceso de valoración de riesgos y/o ante cambios significativos de la plataforma
tecnológica y/o de personal o cualquier otra que impacte el Sistema de Seguridad de la
Información de la Contraloría de Bogotá D.C.
Esta información, será sujeta de verificación en los procesos de revisión por el Comité PG-
DIGITAL o quien haga sus veces, cuando se requiera o en los periodos convenidos para su
actualización.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 4 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
APLICABILIAD
Aplicabilidad
Dominio/Control 27001:2013 ACTIVIDAD / Responsables
del control POLÍTICAS DOCUMENTACION SIG
DOCUMENTO
A.5.1 - Orientación de la dirección para la gestión de la seguridad de la información
Control: Se debe definir
un conjunto de políticas DIRECCIONAMIENTO
para la seguridad de la ESTRATÉGICO
A.5.1.1 Políticas PGTI-16 POLÍTICAS DE
GESTIÓN DE
información, aprobada PDE-10 POLÍTICAS SEGURIDAD DE LA
para la seguridad SI RR 012 DE 2021
INSTITUCIONALES INFORMACIÓN Y
TECNOLOGÍAS DE LA
por la dirección, publicada INFORMACIÓN
de la información SEGURIDAD DIGITAL
5 - POLÍTICAS DE y comunicada a los GESTIÓN DE TALENTO
empleados y partes HUMANO
LA SEGURIDAD
externas pertinentes.
DE LA
Control: Las políticas para
INFORMACIÓN seguridad de la
DIRECCIONAMIENTO
ESTRATÉGICO
información se deben GESTIÓN DE
A.5.1.2 Revisión PGTI-16 POLÍTICAS DE
revisar a intervalos TECNOLOGÍAS DE LA
de las políticas PDE-10 POLÍTICAS SEGURIDAD DE LA
planificados o si ocurren SI RR 012 DE 2021
INSTITUCIONALES INFORMACIÓN Y
INFORMACIÓN
para la seguridad GESTIÓN DE TALENTO
cambios significativos, SEGURIDAD DIGITAL
de la información HUMANO
para asegurar su
COMITÉ PG-DIGITAL (o
conveniencia, adecuación
quien haga sus veces)
y eficacia continuas.
A.6.1 - Organización interna
COMITÉ PG-DIGITAL (o
quien haga sus veces)
Control: Se deben definir DIRECCIONAMIENTO
A.6.1.1 Roles y
y asignar todas las PDE-02 MANUAL DEL ESTRATÉGICO
responsabilidades R.R.046 DE 2019
responsabilidades de la SI R.R.031 DE 2019
SISTEMA INTEGRADO DE GESTIÓN TALENTO
para la seguridad GESTION-SIG HUMANO
seguridad de la
6. de la información GESTIÓN DE
información.
ORGANIZACIÓN TECNOLOGÍAS DE LA
INFORMACIÓN
DE LA
Control: Los deberes y
SEGURIDAD DE áreas de responsabilidad COMITÉ PG-DIGITAL
LA INFORMACIÓN en conflicto se deben (o quien haga sus veces)
separar para reducir las DIRECCIONAMIENTO
A.6.1.2. R.R.046 DE 2019 MANUAL DE FUNCIONES Y ESTRATÉGICO
posibilidades de
Separación de SI R.R.031 DE 2019 DE COMPETENCIAS GESTIÓN TALENTO
modificación no R.R. 003 DE 2021 LABORALES HUMANO
deberes
autorizada o no GESTIÓN DE
intencional, o el uso TECNOLOGÍAS DE LA
indebido de los activos de INFORMACIÓN
la organización.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 5 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
COMITÉ PG-DIGITAL (o
quien haga sus veces)
Control: Se debe DIRECCIONAMIENTO
A.6.1.3. Contacto PDE-02 MANUAL DEL
mantener los contactos ESTRÁTEGICO
con las SI SISTEMA INTEGRADO DE
PARTICIPACIÓN
apropiados con las GESTION-SIG
autoridades CIUDADANA Y
autoridades pertinentes.
COMUNICACIÓN CON
PARTES INTERESADAS
Control: Se debe
mantener los contactos COMITÉ PG-DIGITAL
apropiados con grupos de (o quien haga sus veces)
A.6.1.4. Contacto interés especiales, otros DIRECCIONAMIENTO
PDE-02 MANUAL DEL
ESTRATÉGICO
con grupos de foros especializados en SI SISTEMA INTEGRADO DE
PARTICIPACIÓN
interés especial seguridad de la GESTION-SIG
CIUDADANA Y
información y COMUNICACIÓN CON
asociaciones de PARTES INTERESADAS
profesionales.
PDE-06 PROCEDIMIENTO
Control: La seguridad de PARA LA GESTIÓN DE LOS
A.6.1.5 Seguridad la información se debe DIRECCIONAMIENTO
PROYECTOS DE ESTRATÉGICO
de la información tratar en la gestión de INVERSIÓN
SI GESTIÓN DE
en gestión de proyectos, TECNOLOGÍAS DE LA
proyectos independientemente del PGTI-18 PROCEDIMIENTO
GESTIÓN DE PROYECTOS INFORMACIÓN
tipo de proyecto. CON COMPONENTE DE TI
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 6 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 7 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 8 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
PGD-08 PROCEDIMIENTO
PARA LA ACTUALIZACIÓN
7.7. GESTIÓN DE
DE LOS INSTRUMENTOS
Control: Los activos ACTIVOS (PGTI-16
DE GESTIÓN DE
POLÍTICAS DE
A.8.1.2 Propiedad mantenidos en el INFORMACIÓN PÚBLICA
SI SEGURIDAD DE LA
PGD-05 PROCEDIMIENTO
GESTIÓN DOCUMENTAL
de los activos inventario deben tener un INFORMACIÓN Y
propietario. PARA LA PRODUCCIÓN,
SEGURIDAD
ORGANIZACIÓN Y
DIGITAL)
CONSERVACIÓN DE
DOCUMENTOS
Control: Se debe
identificar, documentar e 8.6. USO DE LOS
implementar reglas para RECURSOS
GESTIÓN
el uso aceptable de TECNOLÓGICOS PGAF-10 -
A.8.1.3 Uso ADMINISTRATIVA Y
(PGTI-16 PROCEDIMIENTO PARA
información y de activos FINANCIERA
aceptable de los SI POLÍTICAS DE LA GESTIÓN DE BIENES
GESTIÓN DE
asociados con SEGURIDAD DE LA PROPIEDAD, PLANTA Y
activos TECNOLOGÍAS DE LA
información e INFORMACIÓN Y EQUIPO
instalaciones de INFORMACIÓN
SEGURIDAD
procesamiento de DIGITAL)
información.
PGAF-10 -
PROCEDIMIENTO PARA
LA GESTIÓN DE BIENES
PROPIEDAD, PLANTA Y
Control: Todos los EQUIPO
empleados y usuarios de PGAF-08 - GESTIÓN
partes externas deben GESTIÓN
CONTRACTUAL
ADMINISTRATIVA Y
A.8.1.4 Devolución devolver todos los activos PGTH-21
SI PROCEDIMIENTO
FINANCIERA
de activos de la organización que se GESTIÓN DE TALENTO
encuentren a su cargo, al ENTREGA DEL PUESTO
HUMANO
terminar su empleo, DE TRABAJO
PGTH-10
contrato o acuerdo. PROCEDIMIENTO PARA
EL RETIRO DEL SERVICIO
DE LOS SERVIDORES
PÚBLICOS
A.8.2 Clasificación de la información
Control: La información se TABLAS DE
debe clasificar en función RETENCIÓN 7.10. INTEGRIDAD
PGD -08
de los requisitos legales, DOCUMENTAL (PGTI-16
A.8.2.1 PROCEDIMIENTO PARA
CUADRO DE POLÍTICAS DE
valor, criticidad y LA ACTUALIZACIÓN DE
Clasificación de la SI CLASIFICACION SEGURIDAD DE LA
LOS INSTRUMENTOS DE
GESTIÓN DOCUMENTAL
susceptibilidad a DOCUMENTAL INFORMACIÓN Y
información GESTIÓN DE
divulgación o a SISTEMA SEGURIDAD
modificación no INFORMACIÓN PÚBLICA
INTEGRADO DE DIGITAL)
autorizada. CONSERVACIÓN
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 9 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Control: Se debe
desarrollar e implementar
un conjunto adecuado de PGD -08
procedimientos para el PROCEDIMIENTO PARA
A.8.2.2 Etiquetado etiquetado de la LA ACTUALIZACIÓN DE
SI LOS INSTRUMENTOS DE
GESTIÓN DOCUMENTAL
de la información información, de acuerdo
con el esquema de GESTIÓN DE
clasificación de INFORMACIÓN PÚBLICA
información adoptado por
la organización.
PGD -08
PROCEDIMIENTO PARA
LA ACTUALIZACIÓN DE
LOS INSTRUMENTOS DE
GESTIÓN DE
INFORMACIÓN PÚBLICA
Control: Se debe PGTH-10
desarrollar e implementar PROCEDIMIENTO PARA GESTIÓN
procedimientos para el EL RETIRO DEL SERVICIO ADMINISTRATIVA Y
A.8.2.3 Manejo de manejo de activos, de DE LOS SERVIDORES FINANCIERA
SI PÚBLICOS GESTIÓN DOCUMENTAL
activos acuerdo con el esquema
de clasificación de PGTH-21 GESTIÓN DE TALENTO
información adoptado por PROCEDIMIENTO HUMANO
ENTREGA DEL PUESTO
la organización. DE TRABAJO
PGAF-10
PROCEDIMIENTO PARA
LA GESTIÓN DE BIENES
PROPIEDAD, PLANTA Y
EQUIPO
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 10 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
PGTI-05 PROCEDIMIENTO
GESTIÓN DE RECURSOS
Y SERVICIOS
R.R.009 DE 2020 -
TECNOLÓGICOS
Control: Se debe disponer ESTRATEGIA GESTIÓN DE
PGAF-10
en forma segura de los CERO PAPEL TECNOLOGÍAS DE LA
PROCEDIMIENTO PARA
A.8.3.2 Disposición PLAN INFORMACIÓN
medios cuando ya no se SI INSTITUCIONAL
LA GESTIÓN DE BIENES
GESTIÓN
de los medios PROPIEDAD, PLANTA Y
requieran, utilizando DE GESTIÓN ADMINISTRATIVA Y
procedimientos formales. EQUIPO
AMBIENTAL – FINANCIERA
PGAF-16
PIGA
PROCEDIMIENTO
MANEJO INTEGRAL DE
RESIDUOS
PGTI-05 GESTIÓN DE
RECURSOS Y SERVICIOS
TECNOLÓGICOS
PGTI-06 PROCEDIMIENTO
GESTIÓN DE SEGURIDAD
Control: Los medios que INFORMÁTICA Y LAS
TABLAS DE
contienen información se COMUNICACIONES
A.8.3.3 CONTROL DE GESTIÓN DE
PGD-03 PROCEDIMIENTO
deben proteger contra ACCESO TECNOLOGÍAS DE LA
Transferencia de SI HOJA DE
PARA LA ACTUALIZACION
INFORMACIÓN
acceso no autorizado, uso Y APLICACION DE TABLAS
medios físicos CONTROL DE GESTIÓN DOCUMENTAL
indebido o corrupción DE RETENCION
durante el transporte. ACCESO
DOCUMENTAL TRD
PGD-05 PROCEDIMIENTO
PARA LA PRODUCCIÓN,
ORGANIZACIÓN Y
CONSERVACIÓN DE
DOCUMENTOS
8.4. USO DE
Control: Solo se debe INTERNET Y
VPN (Virtual
A.9.1.2 Acceso a permitir acceso de los REDES SOCIALES PGTI-07 PROCEDIMIENTO GESTIÓN DE
Private Network -
redes y a servicios usuarios a la red y a los SI (PGTI-16 CONTROL DE ACCESO TECNOLOGÍAS DE LA
Red privada POLÍTICAS DE USUARIO INFORMACIÓN
en red servicios de red para los
virtual) SEGURIDAD DE LA
que hayan sido
INFORMACIÓN Y
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 11 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
autorizados SEGURIDAD
específicamente. DIGITAL)
PGTH-04
PROCEDIMIENTO
PROVISIÓN DE EMPLEOS
VACANTES DE LA PLANTA
DE PERSONAL
PGTH-02
PROCEDIMIENTO PARA
GESTIONAR
Control: Se debe GESTIÓN DE TALENTO
SITUACIONES
implementar un proceso HUMANO
A.9.2.1 Registro y ADMINISTRATIVAS
formal de registro y de GESTIÓN DE
PGTH-03
cancelación del TECNOLOGÍAS DE LA
cancelación de usuarios, SI PROCEDIMIENTO PARA
INFORMACIÓN
registro de MOVIMIENTOS DE
para posibilitar la GESTIÓN
usuarios PERSONAL
asignación de los ADMINISTRATIVA Y
PGTH-21
derechos de acceso. FINANCIERA
PROCEDIMIENTO
ENTREGA DEL PUESTO
DE TRABAJO
PGTI-07 PROCEDIMIENTO
CONTROL DE ACCESO
USUARIOS
PGAF-08 GESTIÓN
CONTRACTUAL
PGTH-04
PROCEDIMIENTO
PROVISIÓN DE EMPLEOS
VACANTES DE LA PLANTA
Control: Se debe DE PERSONAL
implementar un proceso PGTH-02 GESTIÓN DE TALENTO
de suministro de acceso PROCEDIMIENTO PARA HUMANO
A.9.2.2 Suministro formal de usuarios para GESTIONAR GESTIÓN DE
SITUACIONES TECNOLOGÍAS DE LA
de acceso de asignar o revocar los SI ADMINISTRATIVAS INFORMACIÓN
usuarios derechos de acceso a PGTH-03 GESTIÓN
todo tipo de usuarios para PROCEDIMIENTO PARA ADMINISTRATIVA Y
todos los sistemas y MOVIMIENTOS DE FINANCIERA
servicios. PERSONAL
PGTH-21
PROCEDIMIENTO
ENTREGA DEL PUESTO
DE TRABAJO
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 12 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
PGTI-07 PROCEDIMIENTO
CONTROL DE ACCESO
USUARIOS
PGAF-08 GESTIÓN
CONTRACTUAL
7.9.
PRIVACIDAD Y
CONFIDENCIALI
DAD (PGTI-16
A.9.2.3 Gestión de Control: Se debe restringir
POLÍTICAS DE PGTI-07 PROCEDIMIENTO GESTIÓN DE
derechos de y controlar la asignación y SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
SEGURIDAD DE USUARIOS INFORMACIÓN
acceso privilegiado uso de derechos de
LA
acceso privilegiado.
INFORMACIÓN
Y SEGURIDAD
DIGITAL)
A.9.2.4 Gestión de Control: La asignación de
información de la información secreta se PGTI-07 PROCEDIMIENTO GESTIÓN DE
autenticación debe controlar por medio SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
secreta de de un proceso de gestión USUARIOS INFORMACIÓN
usuarios formal.
Control: Los propietarios
A.9.2.5 Revisión de los activos deben PGTI-07 PROCEDIMIENTO GESTIÓN DE
de los derechos de revisar los derechos de SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
acceso de usuarios acceso de los usuarios, a USUARIOS INFORMACIÓN
intervalos regulares.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 13 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 14 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 15 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
A.11.2 Equipos
Control: Los equipos
deben estar ubicados y
A.11.2.1 Ubicación protegidos para reducir GESTIÓN
y protección de los los riesgos de amenazas SI ADMINISTRATIVA Y
equipos y peligros del entorno, y FINANCIERA
las oportunidades para
acceso no autorizado.
Control: Los equipos se
deben proteger contra
GESTIÓN
A.11.2.2 Servicios fallas de energía y otras
SI ADMINISTRATIVA Y
de suministro interrupciones causadas FINANCIERA
por fallas en los servicios
de suministro.
Control: El cableado de
potencia y de
telecomunicaciones que PGTI-05 PROCEDIMIENTO
GESTIÓN DE
A.11.2.3 Seguridad porta datos o soporta GESTIÓN DE RECURSOS
SI Y SERVICIOS
TECNOLOGÍAS DE LA
del cableado servicios de información INFORMACIÓN
debe estar protegido TECNOLÓGICOS
contra interceptación,
interferencia o daño
A.11.2.4 Control: Los equipos se CRONOGRAMA PGTI-05 PROCEDIMIENTO GESTIÓN
DE GESTIÓN DE RECURSOS ADMINISTRATIVA Y
Mantenimiento de deberían mantener SI MANTENIMIENTO Y SERVICIOS FINANCIERA
equipos correctamente para ANUAL DE TECNOLÓGICOS GESTIÓN DE
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 16 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
8.9. USO DE
DISPOSITIVOS
PROPIOS DE
Control: Los usuarios CONFIGURACION FUNCIONARIOS O
A.11.2.8. Equipos deben asegurarse de que EN SERVIDOR CONTRATISTAS GESTIÓN DE
de usuario a los equipos SI CENTRAL - (PGTI-16 TECNOLOGÍAS DE LA
desatendidos desatendidos se les dé BLOQUEO DE POLÍTICAS DE INFORMACIÓN
protección apropiada. SESIÓN SEGURIDAD DE LA
INFORMACIÓN Y
SEGURIDAD
DIGITAL)
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 17 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Control: Los
procedimientos de PGD-02 PROCEDIMIENTO
A.12.1.1 TODOS LOS PROCESOS
operación se deben PARA MANTENER LA
RELACIONADOS EN
Procedimientos de INFORMACIÓN
documentar y poner a SI DOCUMENTADA DEL
ROLES Y
operación RESPONSABILIDADES
disposición de todos los SISTEMA INTEGRADO DE
documentados DEL SIG
usuarios que los GESTIÓN - SIG
necesiten.
Control: Se deben
controlar los cambios en
la organización, en los
A.12 SEGURIDAD procesos de negocio, en PGTI-08 PROCEDIMIENTO
GESTIÓN DE
DE LAS A.12.1.2 Gestión las instalaciones y en los PARA LA GESTIÓN
SI CAMBIOS Y CAPACIDAD
TECNOLOGÍAS DE LA
OPERACIONES de cambios sistemas de INFORMACIÓN
procesamiento de TECNOLÓGICA
información que afectan
la seguridad de la
información.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 18 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Control: Se deben
separar los ambientes de PGTI-09 PROCEDIMIENTO
A.12.1.4
desarrollo, prueba y PARA LA ADQUISICIÓN,
Separación de los GESTIÓN DE
operación, para reducir DESARROLLO Y
ambientes de SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
los riesgos de acceso o INFORMACIÓN
desarrollo, pruebas SISTEMAS DE
cambios no
y operación INFORMACIÓN
autorizados al ambiente
de operación.
A.12.2 Protección contra códigos maliciosos
Control: Se deben
implementar controles de
detección, de prevención
A.12.2.1 Controles y de recuperación, PGTI-06 PROCEDIMIENTO
HERRAMIENTAS GESTIÓN DE
GESTIÓN DE SEGURIDAD
contra códigos combinados con la toma SI DE ANTIVIRUS Y
INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
maliciosos de conciencia apropiada FIREWALL INFORMACIÓN
COMUNICACIONES
de los usuarios, para
proteger contra códigos
maliciosos.
A.12.3 Copias de respaldo
7.4. COPIAS DE
Control: Se deben hacer
RESPALDO Y 8.7.
copias de respaldo de la POLÍTICA DE
información, del software GESTIÓN DE
e imágenes de los PGTI-03 PROCEDIMIENTO
ALMACENAMIENT GESTIÓN DE
A.12.3.1 Respaldo PARA LA REALIZACIÓN Y
sistemas, y ponerlas a SI O (PGTI-16
CONTROL DE COPIAS DE
TECNOLOGÍAS DE LA
de información POLÍTICAS DE INFORMACIÓN
prueba regularmente de RESPALDO
acuerdo con una política SEGURIDAD DE LA
INFORMACIÓN Y
de copias de respaldo
SEGURIDAD
aceptada. DIGITAL)
A.12.4 Registro y seguimiento
Control: Se debe
elaborar, conservar y
revisar regularmente los INFORMES
PGTI-08 PROCEDIMIENTO GESTIÓN DE
A.12.4.1 Registro registros acerca de TRIMESTRALES
SI DE SEGURIDAD
DE GESTIÓN CAMBIOS Y TECNOLOGÍAS DE LA
de eventos actividades del usuario, CAPACIDAD INFORMACIÓN
excepciones, fallas y LÓGICA
eventos de seguridad de
la información.
A.12.4.2 Control: Las instalaciones y
la información de registro PGTI-07 PROCEDIMIENTO GESTIÓN DE
Protección de la
se deben proteger contra SI DE CONTROL DE ACCESO TECNOLOGÍAS DE LA
información de alteración y acceso no USUARIOS INFORMACIÓN
registro autorizado.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 19 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 20 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
PGTI-05 PROCEDIMIENTO
GESTIÓN DE RECURSOS
Y SERVICIOS
TECNOLÓGICOS
Control: Se deben PGTI-04 PROCEDIMIENTO
A.12.6.2 REGISTRO Y ATENCIÓN
establecer e implementar GESTIÓN DE
Restricciones DE REQUERIMIENTOS DE
las reglas para la SI SOPORTE A LOS
TECNOLOGÍAS DE LA
sobre la instalación INFORMACIÓN
instalación de software SISTEMAS DE
de software
por parte de los usuarios. INFORMACIÓN Y EQUIPOS
INFORMÁTICOS
PGTI-07 PROCEDIMIENTO
DE CONTROL DE ACCESO
A USUARIOS
A.12.7 Consideraciones sobre auditorias de sistemas de información
Control: Los requisitos y
actividades de auditoría PGTI-09 PROCEDIMIENTO
que involucran la PARA LA ADQUISICIÓN,
A.12.7.1 DESARROLLO Y
verificación de los
Información MANTENIMIENTO DE GESTIÓN DE
sistemas operativos se
controles de SI SISTEMAS DE TECNOLOGÍAS DE LA
deben planificar y acordar INFORMACIÓN INFORMACIÓN
auditoría de
cuidadosamente para PGTI-08 PROCEDIMIENTO
sistemas
minimizar las DE GESTIÓN CAMBIOS Y
interrupciones en los CAPACIDAD
procesos del negocio.
A.13.1 Gestión de la seguridad de las redes
Control: Las redes se
deben gestionar y PGTI-06 PROCEDIMIENTO
GESTIÓN DE
GESTIÓN DE SEGURIDAD
A.13.1.1 Controles controlar para proteger la SI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
de redes información en sistemas y INFORMACIÓN
COMUNICACIONES
aplicaciones.
Control: Se deben
A.13 SEGURIDAD identificar los
DE LAS mecanismos de
COMUNICACIONES seguridad, los niveles de
servicio y los requisitos de PGTI-06 PROCEDIMIENTO
A.13.1.2 Seguridad GESTIÓN DE
gestión de todos los CATALOGO DE GESTIÓN DE SEGURIDAD
de los servicios de SI SERVICIOS DE TI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
servicios de red, e INFORMACIÓN
red COMUNICACIONES
incluirlos en los acuerdos
de servicios de red, ya
sea que los servicios se
presten internamente o se
contraten externamente.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 21 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 22 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 23 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 24 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
PGTI-09 PROCEDIMIENTO
Control: Los datos de PARA LA ADQUISICIÓN,
A.14.3.1 prueba se deben DESARROLLO Y GESTIÓN DE
Protección de seleccionar, proteger y SI MANTENIMIENTO DE TECNOLOGÍAS DE LA
datos de prueba controlar SISTEMAS DE INFORMACIÓN
cuidadosamente. INFORMACIÓN.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 25 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 26 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Control: Se debe
gestionar los cambios en
el suministro de servicios
por parte de los
proveedores, incluido el
mantenimiento y la
mejora de las políticas, PGAF-08
GESTIÓN
A.15.2.2 Gestión procedimientos y PROCEDIMIENTO PARA
ADMINISTRATIVA Y
LA GESTIÓN
de cambios en los controles de seguridad de FINANCIERA
SI CONTRACTUAL
GESTIÓN DE
servicios de la información existentes,
proveedores teniendo en cuenta la TECNOLOGÍAS DE LA
PGTI-08 GESTIÓN
criticidad de la INFORMACIÓN
CAMBIOS Y CAPACIDAD
información, sistemas y
procesos del negocio
involucrados, y la
revaloración de los
riesgos.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 27 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 28 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 29 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Control: Se debe
implementar
procedimientos PGTI-05 PROCEDIMIENTO
apropiados para asegurar GESTIÓN DE RECURSOS
A.18 el cumplimiento de los Y SERVICIOS
A.18.1.2 Derechos requisitos legislativos, de TECNOLÓGICOS
CUMPLIMIENTO PGTI-09 PROCEDIMIENTO
GESTIÓN DE
de propiedad reglamentación y SI PARA LA ADQUISICIÓN,
TECNOLOGÍAS DE LA
intelectual contractuales INFORMACIÓN
DESARROLLO Y
relacionados con los MANTENIMIENTO DE
derechos de propiedad SISTEMAS DE
intelectual y el uso de INFORMACIÓN
productos de software
patentados.
PGD-03 PROCEDIMIENTO
Control: Los registros se PARA LA ACTUALIZACIÓN
Y APLICACIÓN DE TABLAS
deben proteger contra
DE RETENCIÓN
perdida, destrucción, DOCUMENTAL TRD
falsificación, acceso no PGD -08
A.18.1.3 autorizado y liberación no GESTIÓN DOCUMENTAL
TABLAS DE PROCEDIMIENTO PARA
GESTIÓN DE
Protección de autorizada, de acuerdo SI CONTROL DE LA ACTUALIZACIÓN DE
TECNOLOGÍAS DE LA
registros con los requisitos ACCESO LOS INSTRUMENTOS DE
INFORMACIÓN
legislativos, de GESTIÓN DE
INFORMACIÓN PÚBLICA
reglamentación,
PGTI-03 PROCEDIMIENTO
contractuales y de PARA LA REALIZACIÓN Y
negocio. CONTROL DE COPIAS DE
RESPALDO
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 30 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 31 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 32 de 33
Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
CONTROL DE CAMBIOS
1Registrar Acta con el nombre del Comité y su correspondiente N° y fecha, si se adoptó por resolución reglamentaria igual se registra su
N° y fecha.
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 33 de 33